BEC 공격의 비용이 증가하고 있습니다

기존 이메일 보안이 어떻게 도움이 되지 않는지 알아보기

BEC 공격은 비용이 많이 드는 것으로 판명되고 있습니다

작년에 사이버 범죄자들은 이메일 기반 공격을 사용하여 뉴햄프셔주 피터버러 시에서 230만 달러를 훔쳤습니다. 더 나쁜 것은 손실이 동일한 범죄 그룹의 두 가지 개별 공격으로 인한 것이므로 Peterborough의 재무 부서에서 실수를 더 빨리 깨달았다면 피해를 최소화할 수 있었으리라는 점입니다.

그러나 부서에서 메시지에 의문을 제기하지 않았던 데는 이유가 있습니다. 이메일들은 필터를 우회했을뿐만 아니라 완전히 합법적인 것처럼 보였습니다. 메시지에는 문법 오류, 낯선 발신자, 악의적 이메일과 관련된 의심스러운 링크 등이 없었습니다. 공격자는 전략적으로 작성된 몇 가지 메시지를 사용하여 학군으로 가장했다가 나중에는 건설 회사로 가장하는 데 성공하고, 수백만 달러의 시 예산을 자기네 계정으로 전용했습니다.

피터버러 시 재무 부서에서는 비즈니스 이메일 손상(BEC)이라고 하는 고도로 표적화되고 감지하기 어려운 사기의 피해자가 되었습니다.

BEC는 악의적 링크나 맬웨어에 의존하지 않는 피싱 전술입니다. 공격은 종종 공격자가 알려지고 신뢰할 수 있는 주체인 공급업체, 직원 등인 것처럼 가장하는 하나 또는 두 개의 이메일로 구성되며, 수취인을 속여 공격자가 관리하는 계정으로 자금을 보내도록 합니다.

대상을 특정하는 특성으로 인해 BEC는 가장 일반적인 유형의 이메일 공격은 아니지만, 가장 파괴적인 공격 중 하나일 수 있습니다. Cloudflare에서는 3,100만 건의 이메일 기반 위협 샘플에서 BEC가 1.34%로 가장 낮은 공격 규모를 보이는 것을 발견했지만, 약 3억 5,400만 달러의 손실을 기록했으며, 개별 손실은 각각 평균 약 150만 달러에 이르렀습니다.

공격자는 신뢰를 악용하는 데 점점 더 능숙해지고 있지만, 기존의 이메일 보안은 BEC를 방지하는 데 효과적이지 않습니다. 오히려, 조직에서는 자체와 직원을 보호하기 위해 현대적이고 사전 예방적인 전략을 필요로 합니다. 예를 들어, 공격자 인프라를 선제적으로 식별하고 무력화하면 BEC 공격이 시작되기 전에 차단할 수 있습니다. 동시에 컨텍스트를 분석하여 필터를 우회하거나 손상된 내부 계정에서 오는 메시지에 플래그를 지정할 수 있습니다. 이와 같은 전략으로 이메일 보안을 최신화하면 비용이 많이 드는 공격으로부터 조직을 보호할 수 있습니다.

기존의 이메일 보안이 미흡한 이유

기존의 이메일 보안 전략은 BEC 공격을 처리하고 궁극적으로 조직을 취약하게 만들도록 구축되지 않았습니다. 이러한 전술에는 다음이 포함됩니다.

  • 기본 제공 필터 및 보안 이메일 게이트웨이(SEG): Microsoft, Google 등 제공 공급자의 이메일 필터링은 BEC 시도보다 스팸을 식별하는 데 더 적합합니다.보안 이메일 게이트웨이(SEG)는 의심스러운 이메일을 걸러내지만, BEC를 식별하는 데 어려움을 겪고 기본 제공 이메일 기능과 상당히 겹칩니다(중복되기도 함).

  • 이메일 인증: 발신자 정책 프레임워크(SPF), 도메인 키 식별 메일(DKIM), 도메인 기반 메시지 인증 보고 및 적합성(DMARC) 레코드를 설정하면 이메일 스푸핑을 방지할 수 있습니다.그러나 이러한 조치는 BEC에서 일반적으로 사용되는 합법적인 계정의 이메일에는 적용되지 않습니다.

  • 직원의 경계: Cloudflare에서는 사용자가 보고한 이메일의 92%가 악의적이 아닌 것으로 간주된다는 사실을 알게 되었습니다.이처럼 많은 양의 긍정 오류가 발생하면 보안에 대한 경고 피로가 유발됩니다.

BEC의 유형 및 BEC와 스팸의 차이점

BEC 사기의 세부 사항과 그로 인한 피해는 유형에 따라 다르지만, 모두 신뢰를 악용합니다.

  • 스푸핑된 경영진 발신자 또는 도메인: 이러한 이메일은 임원을 미끼로 사용합니다.공격자는 경영진의 이름 및/또는 대상 회사의 도메인을 스푸핑합니다.그런 다음 공격자는 임원으로 가장하여 직원에게 송금 또는 기프트 카드 구매와 같은 금융 거래를 수행하도록 요청합니다.

  • 손상된 직원 계정: 정교함을 한 단계 업그레이드시킨 이 유형의 내부 계정 탈취는 손상된 직원 계정을 진입점으로 사용합니다.공격자는 일반적으로 도난당한 암호를 통해 실제 직원의 계정을 탈취하여 직원으로 가장하고 동료(피해자)에게 금융 거래 완료를 도와달라고 요청합니다.

  • 벤더 / 공급업체 가장: 이 공격에서 사이버 범죄자는 대상 조직과 기존의 관계가 있는 벤더나 공급업체를 가장합니다.스푸핑된 발신자는 조직 외부에 있으므로 부주의한 피해자는 명백한 징후를 알아차리지 못할 수 있습니다.

  • 손상된 공급업체/침투된 공급업체: 이것은 가장 진보된 유형의 BEC이며 실행하는 데 몇 달이 걸릴 수 있습니다.이러한 공격의 경우 먼저 하나 이상의 이메일 계정 탈취를 통해 공급망 파트너 또는 벤더를 손상시킵니다.공격자는 합법적인 이메일 스레드를 묵묵히 관찰한 다음 적절한 순간에 대화에 끼어들어 결제 요청을 공격자가 관리하는 계정으로 전환시킵니다.이러한 공급망 공격 중 일부에서는 피해자가 향후 감사를 받을 때까지 재정적 손실을 입었다는 사실조차 모를 수 있습니다.

이러한 모든 공격 유형은 소셜 엔지니어링 및 긴박감 조성을 포함한 특정 특성을 공유할 수 있습니다. 공격자는 피해자가 자신을 신뢰하도록 조작할 뿐만 아니라 의심하기 전에 신속하게 조치를 취하도록 수신자를 다그칩니다. 공격자는 피해자가 요청된 작업을 완료하기 전에 후속 질문을 해서는 안되는 이유를 대기도 합니다. 예를 들어, CEO가 보낸 것으로 추정되는 공격 이메일에는 비행기에 오르고 있으며 몇 시간 동안 연락이 안 될 거라고 말할 수 있습니다.

문제를 더욱 복잡하게 만드는 것은 이러한 공격의 고도로 표적화된 낮은 볼륨 유형은 데이터를 집계하기 위해 높은 공격 볼륨에 의존하는 기존 이메일 필터를 우회하는 경우가 많다는 것입니다. 위협 정책이 작동하려면 이메일 필터의 경우 이 데이터가 있어야 도메인, IP, 맬웨어 등의 항목을 의심스러운 것으로 간주해야 한다는 것을 "학습"할 수 있습니다. 이는 기존 스팸 메시지를 필터링하는 데는 도움이 되지만, BEC 공격의 정확성에 대해서는 충분하지 않습니다. 공격자는 새로운 이메일 주소를 생성하거나, 도메인을 스푸핑하거나, 합법적인 이메일 계정을 탈취할 수 있으며, 이 모든 것은 내장된 이메일 보안 기능으로 포착되지 않을 수 있습니다.

이메일 보안에 대한 최신 접근 방식 설계하기

BEC 공격에 효과적으로 대처하려면 기업에서는 다음과 같은 원칙을 중심으로 전략을 수립해야 합니다.

  • 능동적 방어:예측 기술을 사용하면 악의적 이메일이 직원의 받은 편지함에 도착할 때까지 기다리지 않고 새로운 이메일 주소 또는 사기성 도메인과 같은 공격자 인프라를 스캔하고 발신자를 선제적으로 차단할 수 있습니다.이렇게 하면 공격자가 감지되기 전에 직원이 공격자의 이메일을 열어볼 위험을 줄일 수 있습니다.

  • 상황 분석: 예를 들어, 자연어 처리(NLP) 기술은 메시지 감정을 분석할 수 있으며, 이는 "긴급한" 표현을 정확히 찾아내는 데 도움이 될 수 있습니다.또한 컴퓨터 비전 기술은 공격을 보완하는 피싱 웹 사이트를 발견하는 데 도움이 되는 경우가 많습니다.다른 솔루션으로는 공격자가 기존 스레드 내에서 개입할 때 유용할 수 있는 스레드 분석과 보낸 사람 프로필을 분석하여 어떤 위험이 있는지 확인하는 방법이 있습니다.

  • 지속적인 보호: 특히 일부 이메일은 필연적으로 필터를 우회하기 때문에 도착하는 메시지를 필터링하는 것만으로는 충분하지 않습니다.또한 악의적 이메일은 종종 더 큰 공격의 일부일 뿐이므로 받은 편지함을 넘어서는 보호가 중요합니다.예를 들어 악의적 이메일이 필터를 통과하고 직원이 의심스러운 링크를 클릭하는 경우 웹 페이지가 격리된 원격 브라우저에 로드되면 직원과 장치를 보호할 수 있습니다.이러한 유형의 지속적인 보호는 Zero Trust와 같은 보다 전체적인 보안 전략을 적용하는 데 필요합니다.

  • 다중 모드 배포: SEG와 같은 일부 이메일 보안 솔루션은 인라인으로 배포해야 하며, 이는 메일 교환 레코드(이메일을 메일 서버로 보내는 DNS 레코드)를 변경해야 함을 의미합니다.이 방법은 직원의 받은 편지함 앞에 위치해서 모든 수신 및 발신 메일을 검사하므로 외부 이메일의 경우에 가장 적합합니다.반면 API 배포 솔루션은 일반적으로 설정 속도가 더 빠릅니다.그러나 API 전용 접근 방식에는 공격을 선점하지 않는다는 단점이 있어 직원이 이메일이 무력화되기 전에 조치를 취할 가능성이 있습니다.다중 모드 배포(또는 인라인 또는 API 배포를 지원할 수 있는 배포)는 배달 전 및 후 메시지뿐만 아니라 내부 및 외부 위협으로부터 팀을 보호할 수 있으므로 가장 좋습니다.

  • 미래 경쟁력 및 자동화: 하드웨어(비용이 많이 드는 유지 관리가 필요하거나 시간이 지남에 따라 노후화될 수 있음)에 의존하지 않고, 사고 보고서를 자동으로 처리하며(보안 팀의 시간 단축 효과), 위협 정책을 수동으로 만들 필요가 없는(보호 속도가 느려지고 가능한 모든 위협을 완전히 설명하지 못할 수 있음) 솔루션을 찾으세요.

이러한 원칙을 기반으로 구축된 최신 이메일 보안 전략은 공격 주기의 모든 단계에서 BEC 공격 및 기타 형태의 피싱에 대한 포괄적인 보호를 제공하여 조직의 리소스와 데이터를 더 잘 보호합니다.

피싱 공격 선제 중지

Cloudflare에서는 BEC 및 기타 형태의 이메일 공격에 대한 지속적인 보호를 제공하며, 공격자 인프라를 사전에 식별하는 클라우드 네이티브 이메일 보안을 제공합니다.

애플리케이션과 직원 브라우징을 보호하여 맬웨어, 피싱, 데이터 손실을 차단하는 Cloudflare Zero Trust 플랫폼의 일부인 이메일 보안을 Zero Trust 서비스와 통합하면 이메일에서 묵시적 신뢰가 제거되어 고객이 BEC 및 피싱 공격을 차단할 수 있습니다.

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.

핵심 사항

이 글을 읽고 나면 다음을 이해할 수 있습니다.

  • BEC 공격의 증가 배후에는 무엇이 있을까요

  • BEC 공격과 스팸의 차이점

  • 기존의 이메일 보안 전략이 BEC 공격에 대해 작동하지 않는 이유

  • 이메일 보안 전략을 최신화하고 BEC를 방지하는 방법

관련 자료

이 주제에 관해 자세히 알아보세요.

Cloudflare를 이용하여 이메일 보안에 대한 사전 예방적 접근 방식을 만드는 방법을 자세히 알아보세요.

Request a free phishing risk assessment

가장 인기있는 인터넷 인사이트에 대한 월간 요약을 받아보세요!

인기 스토리 구독하기

영업

시작하기

커뮤니티

개발자

지원

회사

© 2023 Cloudflare, Inc.개인정보처리방침사용 약관보안 문제 보고상표